FAQ. Nye databehandleraftaler til eksisterende Schultz-løsningsaftaler. Version 1 maj 2018

Relaterede dokumenter
FAQ. Nye databehandleraftaler til eksisterende EG-løsningsaftaler. Version 1 april 2018

FAQ. Nye databehandleraftaler til eksisterende KMD-løsningsaftaler. Version 1 januar 2018

FAQ. Nye databehandleraftaler til Subit s online vikarløsning. Version 1 august 2018

FAQ. Nye databehandleraftaler til eksisterende KMD-løsningsaftaler. Version 1 januar 2018

FAQ. Nye databehandleraftaler til eksisterende Rambøll-løsningsaftaler. Version 1 juli 2018

FAQ. Nye databehandleraftaler til SkoleIntra med itslearning. Version 1 september 2018

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Databehandleraftale e-studio.dk Side 1 af 6

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 2.0 af 30. maj 2018

Driftskontrakt. Databehandleraftale. Bilag 14

! Databehandleraftale

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Omsorgsbemanding

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

DATABEHANDLERAFTALE. Mellem KUNDEN ADRESSE POSTNR. BY CVR. nr.: (herefter Kunden DATAANSVARLIG)

D A T A B E H A N D L E R A F T A L E

2. Leverandøren er som databehandler forpligtet til følgende:

BILAG 5 DATABEHANDLERAFTALE

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

BILAG 14: DATABEHANDLERAFTALE

Bilag A Databehandleraftale pr

Databehandleraftale INDHOLDSFORTEGNELSE

Bilag B Databehandleraftale pr

Forsvarsministeriets Materiel- og Indkøbsstyrelse

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Kontraktbilag 3. Databehandleraftale

Aftale omkring behandling af persondata.

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Databehandleraftale. Dataansvarlig. Databehandler. Navn: CVR nr.: Adresse:

BILAG 4 DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Tjekliste til databehandleraftaler

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Rammeaftalebilag 5 - Databehandleraftale

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Kontraktbilag 7: Databehandleraftale

Databehandleraftale. Databehandleraftale webcrm, Maj Side 1 / 9

SKABELON FOR DATABEHANDLERAFTALER MELLEM KUNDER EG - af [Indsæt dato]

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

DATABEHANDLERAFTALE Bilag til handelsaftale mellem Shopstart ApS (Databehandleren) og køber af webhotel tjeneste (Dataansvarlig)

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

Bilag 1 Databehandler aftale (v.1.2)

DATABEHANDLERAFTALE SMTP.DK KUNDEN

Vilkår for brug af systemer

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Aftale vedrørende fælles dataansvar

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Underbilag 14A.7 DATABEHANDLERAFTALE

PARSEPORT DATABEHANDLERAFTALE

Databehandleraftale (v.1.1)

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Behandling af personoplysninger

Standardvilkår. Databehandleraftale

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Persondataloven (lov nr. 429 med senere ændringer)

DATABEHANDLERAFTALE. indgået mellem. [Kunde] (den Dataansvarlige ) Sandgrav Solutions ApS CVR: Granbakken 53.

3 Omfattede typer af personoplysninger og kategorier af registrerede

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

DATABEHANDLERAFTALE. Journalnummer.: Vedrørende Vaskeriydelse

Databehandleraftale

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

BILAG 1 DATABEHANDLERAFTALE Rambøll som databehandler

SKABELON FOR DATABEHANDLERAFTALER MELLEM SKOLEINTRA KUNDER OG ITSLEARNING - af

Transkript:

FAQ Nye databehandleraftaler til eksisterende Schultz-løsningsaftaler Version 1 maj 2018

indhold Hv orf or er der be hov for at indgå data be ha ndleraftale r?... 3 Hv orf or en s æ rli g data be ha ndl eraftale til br ug for Sc hultz e ksi ster e nde l øsni nge r?... 3 Hve m har me dvir ket til at udf or me data be ha ndler aftale n?... 3 Hvil ke typer af aftaler er omfattet he raf?... 4 Me df ører data be ha ndle raftale n mer udgift er for kom m uner ne?... 4 Hv or da n er k om m une n s tillet ve d l ovæ ndri nge r?... 4 Hva d er pr oces se n f or aftalei ndgåels e?... 4 Bilag oversigt over databehandleraftalens indhold med angivelse af eventuelle betalingsforhold 1. Ge ne relt... 5 2. Form ål... 5 3. K unde ns rettighe de r og f orpligte lser... 5 4. Le vera ndøre ns f orpligt else r... 6 5. Unde rle ve ra ndør (underdata be ha ndle r).... 10 6. Instrukse r.... 10 7. Tekniske og orga nisat oriske sikkerhe dsf ora nsta ltninge r... 11 8. Ove rf ørsle r til a ndre la nde.... 11 9. Ta vshe dspligt og f ort rolighe d.... 11 10. Kontrolle r og e rklæringe r.... 12 11. Ændringe r i a ftale n.... 13 12. Misligholde lse og t viste r... 14 13. Erstatning og f orsikring... 14 14. Ikrafttræ de lse....14 15. Form kra v...14 2

Hvorfor er der behov for at indgå databehandleraftaler? Den nye databeskyttelsesforordning trådte i kraft den 25. maj 2018. Det betyder, at der er en række nye eksplicitte forhold, der skal være reguleret i en databehandleraftale. Blandt andet skal der være en beskrivelse af de persondata, der behandles, og den behandling af persondata, der finder sted i løsningen. Med udgangspunkt i dette har Kit@s bestyrelse opfordret KOMBIT, SKI og Schultz til at samarbejde om at udforme en databehandleraftale, der kan benyttes på de af Schultz løsninger, hvor der behandles persondata. Opfordringe n fra Kit@s bestyrelse bunder i mængden af aftaler, som kommunerne har med Schultz. Uden denne aftale ville det blive en tidskrævende opgave for kommunerne at få databe- handleraftalerne på plads. Standarddatabehandleraftalen regulerer ikke de krav, som påhviler databehandleren (Schultz), og som intet har med den dataansvarliges (kommunen) forpligtelse at gøre. Dette gælder f.eks. den fortegnelse, som databehandlere er forpligtede til at føre efter databeskyttelsesforordningens artikel 30, stk. 2. Sådanne krav er ikke nødvendige eller hensigtsmæssige at regulere i en databehandleraftale. Præmisser ne for udarbejdelse af standarddatabehandleraftalen har været: Kommunerne pålægges en række forpligtelser efter lovgivninge n, men må udover disse aftaleretligt ikke stilles ringere efter maj 2018 end i dag Aftalen er baseret på en minimummodel, med fokus på overholdelse af loven uden yderligere krav og dermed uden ekstraomkostninger for kommunerne til sådanne krav Aftalen tager afsæt i den allerede eksisterende KL/KOMBIT- skabelon for databehandleraftaler mellem kommuner og it-leverandører Aftalen er blevet til på samme vis, og under de samme forudsætninger, som de tilsvarende skabeloner, som KMD, EG og KOMBIT udarbejdede. Det er tilstræbt at Schultz-skabelonen og EG-skabelonen ligner hinanden mest muligt. Forskellene mellem Schultz-Skabelonen og EG-Skabelonen er forklaret i bilaget til denne FAQ. At det er en version, der indeholder nuværende og kommende lovgivningskra v til indholdet i en databehandleraftale At den umiddelbart kan anvendes til kommuners eksisterende aftaler med Schultz med et minimum af individuel tilpasning Hvorfor en særlig databehandleraftale til brug for Schultz eksisterende løsninger? Databehandleraftalen tager udgangspunkt i KL/KOMBITs skabelon for databehandleraftaler mellem kommuner og deres leverandører. Resultatet kan benyttes på eksisterende aftaler, hvor priser og leveringsvilkår er aftalt på forhånd. Det er vigtigt at understrege, at standarddatabehandleraftalen skal ses som en hjælp til kommunerne. Det står kommunerne frit for at foretage egne forhandlinger med Schultz, så det er altså frivilligt, om man vil benytte den eller ej. Aftalen skal regulere Schultz og kommunens rettigheder og forpligtelser i forhold til overholdelse af databeskyttelsesforordningen på de eksisterende aftaler. Kommunerne pålægges en række forpligtelser efter lovgivningen, men præmissen er, at kommunerne udover disse ikke skal stilles ringere efter den 25. maj 2018 end i dag. Der er sålede s udarbejdet en minimums- model af databehandleraftalen, der sikrer, at forordningens krav opfyldes samtidig med, at de eksisterende aftaler ikke fordyres med yderligere krav. Derudover er der foretaget mindre ændringer i bilagsstrukture n, så den kan anvendes på de mange aftaler, Schultz har med kommunerne, som er opsat efter en særlig skabelon med forskel- lige variable. Men denne fremgangsmåde sikres det, at udfyldelsen af databehandleraftalen kan ske så digitalt som muligt. Hvem har medvirket til at udforme databehandleraftalen? En arbejdsgruppe med deltagere fra KOMBIT og Schultz har med afsæt i KL/KOMBIT s skabelon for databehandleraftale udarbejdet en databehandleraftale, der er målrettet eksisterende aftaleforhold. Processen har været forelagt en kommunal følgegruppe nedsat af KIT@, der har haft lejlighe d til at kommentere på indholdet undervejs. Den færdige databehandleraftale er godkendt af følgegruppe n. SKI har herefter kommenteret på databeha ndle raf tale. I forbindelse med udarbejdelse af skabelonen til databehandleraftaler mellem kommuner og deres leverandører har KOMBIT og KL udarbejdet en vejledning til kommunerne i benyttelse n af denne skabelon. Kommunerne kan stadig med fordel læse denne vejledning. Det skal dog bemærkes, at de henvisninger til konkrete aftaleafsnitsnummereringer, der er anført i vejledningen, ikke nødvendigvis er gældende længere, idet enkelte afsnit er udgået, omnummereret eller omformuleret, da skabelonen som nævnt er tilpasset til en færdig aftale. 3

Hvilke typer af aftaler er omfattet heraf? Samtlige aftaler der er indgået, hvor der behandles persondata, er omfattet. Overordnet er der to former for aftaler mellem kommunerne og Schultz: 1. Aftaler indgået på en SKI rammeaftale, hvori der indgår drift eller behandling af data typisk en ASP/Cloud Service, der er anskaffet under SKI 02.19 ASP/Cloud 2. Øvrige kontrakter herunder også kontrakter indgået efter gennemført EU-udbud mellem kommunen og Schultz. Denne kategori dækker over alle kontrakter, som ikke er indgået på en SKI rammeaftale. Den nye databehandleraftale benyttes i begge aftalescenarier. De vilkår, der gælder i Hovedaftalen dvs. den aftale, som databehandleraftalen knytter sig til vil fortsat være gældende. Kommunerne pålægges en række forpligtelser efter lovgivninge n, men udover disse sker der ingen forringelser i forhold til det, der allerede er aftalt. Specielt i aftaler indgået på SKI-rammeaftaler, eller aftaler indgået efter gennemførte EU-udbud, kan der være vilkår, som kommunerne bibeholder, og som rækker ud over de ydelser, der er anført som standard i databehandleraftalen. Medfører databehandleraftalen merudgifter for kommunerne? Databehandleraftalen regulerer de opgaver og ansvarsområder, der ifølge den nye databeskyttelsesforordning påhviler henholdsvis den dataansvarlige myndighed (kommunerne) og databehandleren (Schultz). De ydelser, der er dækket af et fast vederlag før forordninge ns ikrafttræden, vil fortsat være dækket af det aftalte faste vederlag efter maj 2018. Der vil dog som i dag også være ydelser, der ikke er dækket af et fast vederlag. F.eks. kan kommunerne vælge at rekvirere bistand fra Schultz i forbindelse med enkelte af de opgavevaretagelser, der som udgangspunkt påhviler kommunen som dataansvarlig myndighed. I visse tilfælde kan disse ydelser være betalbare. Databehandleraftalerne laver således ikke om på de aftalte vederlag, der gælder i henhold til den enkelte hovedaftale. Visse steder er der dog i databehandleraftalen tydeliggjort, hvad der gælder om betaling. Derudover er der i nedenstående bilag angivet en oversigt over, hvilke aktiviteter der er reguleret i den nye databehandleraftaler, herunder om der kan være ydelser i forbindelse hermed, der er betalbare. Hvordan er kommunen stillet ved lovændringer? Om lovændringer udløser ekstra betaling, afhænger af den enkelte aftale. I mange aftaler gælder det, at der ikke opkræves yderligere vederlag i forbindelse med lovændringe r, der har til følge, at Schultz-systemer skal tilrettes, som det er tilfældet i f.eks. SKI 02.19 ASP/Cloud. Se bemærkninger hertil i bilaget til denne FAQ for yderligere forklaring. Hvad er processen for aftaleindgåelse? Schultz tager kontakt til alle kommuner med henblik på at gennemføre en proces for indgåelse af databehandleraftaler på alle de eksisterende aftaler så smidigt som muligt. Schultz fremsender en færdig udfyldt databehandleraftale, hvor alle bilagsoplysninge r samt Schultz forslag til udarbejdelse af en instruks er indeholdt. Dette er muligt, fordi der er tale om eksisterende løsninger, hvor Schultz i forvejen varetager databehandling for kommunerne, og således er bekendt med den instruks, der påhviler databehandler. Kommunen bør selv gennemgå disse oplysninger, herunder om instruks fortsat er dækkende, inden aftalerne underskrives. Der forventes som nævnt en digital proces for aftaleindgåelse, hvor Schultz efter forsla g fra den kommunale følgegruppe vil benytte de fælleskommunale KOMBITfunktionspostkasser til elektronisk fremsendelse af databehandleraftalerne. Ved digital indgåelse anvendes der således ikke fysisk underskrift i Databehandleraftalen. 4

Bilag Oversigt over databehandleraftalens indhold med angivelse af eventuelle betalingsforhold Forskel fra KMD-aftale Hovedelementer i databehandleraftalens afsnit Afsnit SKI Ramme-aftale 02.19 henvisninger n e er til SKI 02.19 rammeaftale-komplekset Øvrige kontrakter, herunder udbudte kontrakter Uddybe nd e eksempler Generelt 1 Gener el forplig telse 1.1 Henvisning ny forordning og lov 1.2 Der er nu også henvist til den nye, kommende danske persondatalov Præcisering 1.3 Leverandøren skal behandle personoplysninger i overensstemmelse med god skik. Formål 2 1.4 (X) I det omfang dette ikke er indeholdt i Hovedaftale ns faste vederlag, er det særskilt betalbart

Henvisning til Hovedaftalen 2.1 Ikke relevant Ikke relevant Der er nu indsat mulighed for at henvise til flere hovedaftaler, hvis kommunen har flere aftaler med Schultz. Det er stadig muligt at lave én databehandleraftale for hver hovedaftale, som kommunen har med Schultz. Det er altså helt valgfrit for kommunen, om kommunen vil have én databehandleraftale, der henviser til flere hovedaftaler, eller en databehandleraftale for hver hovedaftale. Schultz kommer med et forslag til, om der skal samles flere hovedaftaler i en databehandleraftale, eller om der skal laves en aftale for hver hovedaftale. Kundens rettigh eder og forpligte lser 3 Kundens rettigheder og forpligtelser 1 3.1 Kundens rettigheder og forpligtelser 2 3.2 Det kan navnlig være relevant at henvise til flere hovedaftaler, hvor der er indgået flere aftaler, som relaterer sig til samme løsning. Henvisning til underbilag 1 for yderligere forpligtelser 3.3 Databehandleraftalen er ikke et underbilag, men et bilag. Det skyldes at databehandleraftalen indgås som en selvstændig aftale, og ikke som et bilag. Dette vil ikke gøre en forskel på parternes rettigheder eller forpligtelser. Denne ændring ses også i resten af databehandleraftalen. Bemærk Dette skema er en overordnet angivelse af den forståelse parterne har af de betalingsmæssige konsekvenser af bilaget. Der kan muligvis være enkelte afvigelser alt efter definition af kategorier og hovedaftalers konkrete indhold. Hvilke punkter i aftalen vil være særskilt betalbare for kommunen betyder, at bestemmelsen i sig selv ikke udløser yderligere betaling (X) betyder, at de r i visse tilf ælde ka n være be talbare yde lse r X betyder, at der kan opkræves betaling 5

Forskel fra KMD-aftale Hovedelementer i databehandleraftalens afsnit Afsnit SKI Ramme-aftale 02.19 henvisninger n e er til SKI 02.19 rammeaftale-komplekset Øvrige kontrakter, herunder udbudte kontrakter Uddybe nd e eksempler Leveran dør ens forpligtelser 4 Leverandørens forpligtelser, 1 4.1 afsnit 19.5 Leverandørens forpligtelser, 2 4.2 afsnit 19.5 (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalb art (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalb art Her er bestemmelsens ordlyd ændret, så den passer til databeskyttelsesforordningens ordlyd. Aftalen er altså tilpasset, så den svarer til de forpligtelser og rettigheder, som parterne har efter databeskyttelsesforordningen. En tilsvarende ændring vil fremgå af næste version af KL/KOMBIT s næste generelle databehandleraftaleskabelon. Leverandøren skal sikre persondata via tekniske og organisatoriske sikkerhedsforanstaltninger. 4.3 afsnit 19.5 (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalb art

Hovedelementer i databehandleraftalens afsnit Afsnit SKI Ramme-aftale 02.19 henvisninger n e er til SKI 02.19 rammeaftale-komplekset Øvrige kontrakter, herunder udbudte kontrakter Uddybe nd e eksempler Leveran dør ens forpligtelser (fortsat) 4 Leverandøren skal på opfordring fra kunden hjælpe til 4.4 X (X) Et eksempel herpå kan være, at en eller flere borgere henvenmed at opfylde kundens forpligtelser i forhold til den I det omfang der I det omfang der der sig og ønsker oplysning om hvad kommunen har registreret registreredes rettigheder, herunder ikke er organisa- ikke er organisa- af oplysninger på dem. I så fald er det kommunens opgave selv at slå op i releva nte fagsystemer for at se hvor - og med hvilke torisk eller teknisk torisk eller teknisk data - borgeren er registreret. Såfremt kommunen ønsker at besvarelse af anmodning fra borgerne om indsigt i mulighed for den mulighed for Schultz skal hjælpe til med at finde disse oplysn inger - f.eks. egne oplysninger dataansvarlige at den dataansvar- på grund af at der er mange borgere der har henvendt sig, og udlevering af borgernes oplysninger opfylde forpligtel- lige til at opfylde munen ikke mener at have ressourcer til at sagsbeha ndle alle sen, skal data- forpligtelsen, skal disse henvendelser, da kan Schultz tilbyde at hjælpe til rettelse og sletning af oplysninger behandler bistå databehandler så fald bestiller kommunen opgaven hos Schultz, og der vil blive begrænsning af behandling af borgernes oplysninger kundens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrug vederlagsf rit bistå vederlagsfrit, i det omfang der er indeholdt bistand som en del af et fast vederlag i Hovedaftale n. opkrævet et vederlag herfor. Systemerne er som udgangspunkt designet til at dette kan lade sig gøre, f.eks. via benyttelse af borgerens cpr-nummer som nøgle. Såfremt det ikke er muligt for kommunen selv at fremfinde disse oplysninger (fordi systemet ikke indeholder mulighed herfor), da vil Schultz hjælpe med at fremfinde gerne uden at dette koster ekstra, såfremt en sådan bistand er indeholdt som en del af et fast vederla g. Tilsvarende gælder, hvis borgeren ønsker at få udleveret oplysningerne, f.eks. i form af et print, eller borgeren anmoder om at de registrerede oplysninger bliver rettet eller slettet i registrene. Typisk er dette en opgave som kommunen selv skal varetage. Schultz kan bistå mod et vederla g, hvis kommunen måtte ønske dette. Såfremt kommunen skal underrette en kreds af borgere om at der har været et sikkerhedsbrud, da varetager kommunen selv denne opgave. Hvis kommunen imidlertid vurderer, at denne underretning bedst kan ske via bistand fra Schultz, da kan en bistandsopga ve bestilles hos Schultz, der udfører opgaven mod at opkræve vederlag herfor.

7

Hovedelementer i databehandleraftalens afsnit Afsnit SKI Ramme-aftale 02.19 henvisninger n e er til SKI 02.19 rammeaftale-komplekset Øvrige kontrakter, herunder udbudte kontrakter Uddybe nd e eksempler Leveran dør ens forpligtelser 4 Leverandøren skal efterleve dennes forpligtelser i Forordningens artikel 32 - Behandlingssikke rhe d - mht. aktiviteter der kan henføres til databehandleren (gennemførelse af passende tekniske og organisatoriske foranstaltninger internt i EG). Leverandøre n skal bistå kunden med at efterleve dennes forpligtelser i Forordninge ns artikel 32 - Behandlingssikkerhed. Aktiviteter, der kan henføres til den dataansvarlige (gennemførelse af passende tekniske og organisatoriske foranstaltninger i kundens egen organisation). Leverandøren skal efterleve dennes forpligtelser i Forordninge ns artikel 33 - Underretning af den dataansvarlige om brud på persondatasikkerheden. Leverandøren skal bistå kunden med at efterleve dennes forpligtelser i Forordningens artikel 33 - Anmeldelse af brud på persondatasikkerheden til tilsynsm yndighe de n. 4.5 afsnit 19.5 (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalb art 4.5 X X Såfremt en kommune ønsker EG s bistand til at varetage sikkerhedsforansta ltninger hos kommunen selv, vil sådan bistand være særskilt betalbar. 4.5 afsnit 19.5 Dette kunne eksempelvis dreje sig om logning af kundens medarbejderes adgange til personoplysninger samt styring af adgange for kundens medarbejdere. I så tilfælde vil sådanne foranstaltninger være særskilt betalbare. 4.5 X X Kommunens dialog med tilsynsmyndighederne (Datatilsynet) er en opgave som påhviler dataansvarlig, og som kommunen derfor typisk selv vareta ger. Tilbag e til oversigte n I det omfang kommunen til brug for denne dialog efterspørger oplysninger, som kommunen selv er i stand til at tilvejebringe, men som kommunen mener, at EG med fordel kan bistå med at fremskaffe, kan kommunen bestille sådanne oplysninger hos EG. Afhængig af omfanget heraf kan en sådan opgaveløsning fra EG s side være betalbar. 8

Hovedelementer i databehandleraftalens afsnit Afsnit SKI Ramme-aftale 02.19 henvisninger n e er til SKI 02.19 rammeaftale-komplekset Øvrige kontrakter, herunder udbudte kontrakter Uddybe nd e eksempler Leveran dør ens forpligtelser (fortsat) 4 Leverandøre n skal bistå kunde n med at efterleve dennes forpligtelser i Forordninge ns artikel 34 Underretning om brud på persondatasikkerheden til den registrerede. 4.5 X X I visse tilfælde vil det være sådan, at kommunen skal underrette en kreds af borgere om at der har været et sikkerhedsbrud. Det typiske er, at kommunen selv varetager denne opgave. Hvis kommunen imidlertid vurderer, at denne underretning bedst kan ske via bistand fra Schultz, da kan en sådan bistandsopgave bestilles hos Schultz, der udfører opgave n mod at opkræve vederlag herfor. Leverandøren skal bistå kunden med at efterleve dennes forpligtelser i Forordninge ns artikel 35 Udarbejdelse af konsekvensanalyse vedrørende databeskyttelse. Skyldes sikkerhedsbruddet en fejl begået af Schultz, og kommunen derfor mener at kunne rejse krav mod Schultz, skal dette ske i henhold til de misligholdelsesbeføjelser, der måtte gælde i Hovedaftalen (f.eks. ved påberåbelse af mangler eller 4.5 X X En konsekvensanalyse består i en vurdering af af de risici der er i forbindelse med behandling af personoplysninger. En konsekvensanalyse skal foretages inden visse typer af behandling af personoplysninger. Det er den dataansvarlige, der skal foretage denne analyse. Hvis Schultz bistand ønskes i forbindelse hermed, vil dette typisk være at betragte som en konsulentydel se, som Schultz kan opkræve vederlag for at medvirke til. 9

Hovedelementer i databehandleraftalens afsnit Afsnit SKI Ramme-aftale 02.19 henvisninger n e er til SKI 02.19 rammeaftale-komplekset Øvrige kontrakter, herunder udbudte kontrakter Uddybe nd e eksempler Leveran dør ens forpligtelser 4 Krav til leverandørens ekspertise 4.6 afsnit 19.5 Overholde bestemmelser i andet EU-medlemsland 4.7 Under lever an dør (under databe handler ) 5 Definition underdatabehandler 5.1 Leverandørens rettigheder og forpligtelser over for denne, 1 Leverandørens rettigheder og forpligtelser over for denne, 2 5.2 5.3 Underdatabehandlerens forpligtelser 5.4 Leverandøren har ansvaret for underleverandøren 5.5 Kommunen kan forlange dokumentation 5.6 Instrukser 6 Behandling sker efter instruks 6.1 Leverandøren giver besked til kunden om ulovlig instruks 6.2 afsnit 19.5 10

Hovedelementer i databehandleraftalens afsnit Afsnit SKI Ramme-aftale 02.19 henvisninger n e er til SKI 02.19 rammeaftale-komplekset Øvrige kontrakter, herunder udbudte kontrakter Uddybe nd e eksempler Forskel fra KMD-aftale Tekniske og organisatoriske sikker he dsforanstaltnin ger Leverandøren træffer fornødne tekniske og organisatoriske sikkerhedsforanstaltninger 7 7.1 (X) I det omfang dette ikke er indeholdt i Hovedaftale ns faste vederlag, Leverandøren holder passende sikkerhedsniveau 7.2 afsnit 19.5 er det særskilt betalbart (X) I det omfang dette ikke er indeholdt i Hovedaftale ns faste vederlag, er det særskilt betalbart 11

Leverandøren underretter kunden om sikkerhe dsbrud 7.3 afsnit 19.5 Schultz har lavet en proces for håndtering af sikkerhedsbrud, som fastlægger at vi skal kontakte dataansvarlig, så snart vi bliver bekendt med et sikkerhedsbrud; samtidig med eller umiddelbart efter standsning af ulykken. Vi kontakter ikke andre og slet ikke pressen i sådan en situation, da vi agerer på vegne af dataansvarlig. Vi vil undervejs i opklaring og dokumentation af bruddet fremsende status og dokumentation i flere tempi, så dataansvarlig bliver i stand til at vurdere om de registrerede skal informeres og i sidste ende kan indrapportere bruddet til Datatilsynet. Det sidste kan vi også gøre, men kun i det tilfælde at der er aftalt med dataansvarlig. Overførsler til andre lande 8 Overførsel til andre lande sker ud fra kundens instruks 8.1 Schultz må kun overføre kommunens personoplysninger med kommunens godkendelse. Leverandøransvar vedr. persondata overført til andet EU-land Tavshedspligt og fortrolig he d 9 8.2 Leverandøren sikrer fortrolighed og tavshedspligt 9.1 Schultz angiver det tydeligt i det udfyldte bilag 1, punkt 3.2, hvis der overføres personoplysninger til tredjelande. I bilag 1, punkt 3.2 er der givet plads til, at eventuelle tredjelandsoverførsler suppleres med oplysning om, hvilket overførselsgrundlag der anvendes, for at lette kommunens dokumentationsforpligtelse. 12

Hovedelementer i databehandleraftalens afsnit Afsnit SKI Ramme-aftale 02.19 henvisninger n e er til SKI 02.19 rammeaftale-komplekset Øvrige kontrakter, herunder udbudte kontrakter Uddybe nd e eksempler Kontr oller og erklær in ger 10 Leverandøren forpligtiget til at udlevere oplysninger så kunden kan sikre sig at leverandøren overholder aftalen. 10.1 X X Schultz udsender generel revisionse rklæring vedr. overholdelse af sikkerhe dsproce dure r og databeha ndling til kunder, som har det medtaget i deres hovedafta le. Betaling er regulere t af hovedaftale n. Kunden har adgang til inspektioner og revision 10.2 (X) afsnit 15 X Såfremt der er behov for yderligere dokume ntation, f.eks. i form af rapporter, indhentning af uvildige konsulentoplysninger eller andre opgaver, der medfører et ressourceforbrug ud over det der er aftalt med kommunen i den konkrete Hovedaftale, kan dette være betalbart. Audit er særskilt betalbart, medmindre andet er aftalt i Hovedaftale n.

Leverandøren fremsender årlig vederlagsfri erklæring 10.3 X Schultz fremsender årligt revisorerklæring til dokumentation af, at Schultz overholder nærværende databehandleraftale. Betaling er vederlagsfri hvis det fremgår af hovedaftale. For kunder med SKI 02.19 aftaler er det ikke et krav, at der skal fremsendes revisorerklæringer. For SKI 02.19 kunder er der dermed tale om en ny forpligtelse, som vil være betalbar. Betalingen vil ligge mellem 5.000 og 20.000 afhængig af kommunens størrelse. 0-30.000 borgere: 5.000-7.500,- kr. afhængig af størrelse 30-60.000 borgere: 10.000,- kr. 60-100.000 borgere: 15.000,- kr. >100.000 borgere: 20.000,- kr. 12

Forskel fra KMD-aftale Hovedelementer i databehandleraftalens afsnit Afsnit Ændr ing er i aftalen 11 Kundens mulighed for ændring i instruksen med et vist varsel og mod betaling. Ændringer i lovgivningen eller tilhørende praksis kan medføre ændringer i aftalen. SKI Ramme-aftale 02.19 henvisninger n e er til SKI 02.19 rammeaftale-komplekset 11.1 X Reguleret i Bilag C, afsnit 14 og 16, samt Bilag C7 Øvrige kontrakter, herunder udbudte kontrakter 11.2 (X) Ændringer som ikke er indeholdt i Hovedaftal e n s faste vederlag er særskilt betalbare. X Ændringer der går udover, hvad Schultz tilbyder sine øvrige kunder, som tilpasning til ny lovgivning er særskilt betalbare. Uddyben de eksempler Et eksempel herpå vil være, at kommunen introducerer ændringer i den allerede aftalte instruks. I så fald aftales pris, udførelse og tid i henhold ændringsbestemmelsen i Hovedaftale n. Det typiske er, at det er reguleret i Hovedaftale n hvorvidt lovvedligeholdelse og de aktiviteter der følger heraf er særskilt betalbare. Aftalen ændres inden for den anførte frist og lovændringer implementeres inden for rimelig tid. Schultz foretager ændringer i aftalen ens overfor alle kunder. Da Schultz tilpasser løsninger og aftaler til ny lovgivning sideløbende for samtlige kunder. Såfremt enkelte kunder ønsker tilføjelser til denne standardtilpasning ny lovgivning, vil dette være særskilt betalbart. Hvis der f.eks. kommer yderligere krav til behandlingssikkerhed i ny lovgivning, vil Schultz implementere disse krav teknisk og aftalemæssigt ens for samtlige kunder. Ønsker en kunde derudover yderligere skærpelse af behandlingssikkerheden, da kundens egen forståelse af sikkerhedskravene i den nye lovgivning går videre end de øvrige kunders, da vil indførelse af sådanne sikkerhedskrav være særskilt betalbare. Ændringe n ses i punkt 11.2.1. Schultz tilpasser sig ændringe r i lovgivning og tilhørende praksis ens for alle kunder. Derfor vil en ændring i lovgivninge n ikke medføre ret til individuel tilpasning af databeha ndlerafta le n for hver enkelt kommune. 13

Et eksempel herpå kunne være, at Schultz efter en ændring lovgivning eller praksis vælger at følge nye retningslinjer om sletning fra Datatilsynet (f.eks. en opdateret version af Datatilsynets ITsikkerhedstekst ST-3). En enkelt kommune stiller dog krav om sletning efter en specifik standard (f.eks. NIST 800-88), som går udover hvad Datatilsynet kræver. Opgradering til denne standard vil være særskilt betalbar. Et andet eksempel kunne være, at der kommer en ny bekendtgørelse (eller anden administrativ retsakt) der ligner den nuværende sikkerhedsbekendtgørelse. I denne nye bekendtgørelse er der skærpede krav til tavshedspligten for medarbejdere. Schultz indskærper tavshedspligten overfor Schultz medarbejdere i overensstemmelse med den nye bekendtgørelse. Schultz har dermed implementeret de skærpede krav ens for alle kunder. En enkelt kommune ønsker dog at gå videre, og betinger sig en underskrevet tavshedserklæring fra visse medarbejdere hos Schultz, hvor medarbejderne forpligter sig til fortrolighed direkte overfor kommunen. Hvis Schultz accepterer et sådant særkrav, vil dette være særskilt betalbart. Sletning af data 12 Kommunen beslutter sletning af data efter ophør. 12.1 afsnit 21.1 (X) I det omfang dette ikke er indeholdt i Hovedaftale ns faste vederlag, er det særskilt betalbart Det vil typisk være reguleret i Hovedaftalen hvorvidt slet- ning af data efter ophør er særskilt betalbart. 14

Kommunen meddeler sletning eller tilbagelevering af data. 12.2 afsnit 21.1 (X) I det omfang dette ikke er indeholdt i Hovedaftale ns faste vederlag, er det særskilt betalbart Det vil typisk være regulere t i Hovedaftale n hvorvidt sletning af data efter ophør samt eventuelle opfølgende aktiviteter i forbindelse hermed er særskilt betalbart. Hvis kommunerne ønsker at sletningen foretages efter en bestemt standard, eksempelvis NIST 800-88, vil det ske efter særskilt betaling. Schultz og dennes underleverandører vil dog sikre, at sletning af Kundens data sker effektivt og endeligt på en sådan måde, at de ikke med nogen på sletningstidspunktet kendt teknologi, kan genskabes. 15

Hovedelementer i databehandleraftalens afsnit Afsnit SKI Ramme-aftale 02.19 henvisninger n e er til SKI 02.19 rammeaftale-komplekset Øvrige kontrakter, herunder udbudte kontrakter Uddyben de eksempler Forskel fra KMD-aftale Misligholdelse og tvister 13 Misligholdelse og tvister 13.1 Ikke relevant Ikke relevant Erstatning og forsikring 14 Erstatning og forsikring 14.1 Ikke relevant Ikke relevant Ikrafftræden, varighed og forrang 15 Ikrafftræde n og varighe d 15.1 Ikke relevant Ikke relevant Denne bestemmelse kan eksempelvis være relevant, hvor kommunens data ikke er blevet slettet eller tilbageført ved hovedaftalens ophør; f.eks. fordi det ikke har været muligt for kommunen at finde en ny leverandør i tide, eller der har været migreringsvanskeligheder. Her er det en fordel, at der er sikret overholdelse af databeskyttelsesforordningen, uden at skulle bruge ressourcer derpå. Databehandleraftalen løber så længe Schultz behandler personoplysninger på vegne af kommunen. Dette skal sikre overholdelse af databeskyttelsesforordningen for begge parter. Det skal sikres, at parterne ikke kan komme til at stå uden en databehandleraftale, når Schultz stadig behandler personoplysninger på vegne af kommunen. 16

Forrang 15.2 Ikke relevant Ikke relevant Denne bestemmelse kan ikke give kommunen betalingsforpligtelser, hvor kommunen havde ret til vederlagsfri ydelser i hovedaftalen. Dette skyldes, at betalingsforpligtelserne i databehandleraftalen kun er relevante, i det omfang dette ikke er indeholdt i Hovedaftale ns faste vederlag. Databehandleraftalen har her fået forrang. Dette skal sikre, at bestemmelser i hovedaftaler, som måtte være databeskyttelsesforordningen ikke medfører overtrædelse af denne. Formkrav 16 Formkra v 16.1 Ikke relevant Ikke relevant 17

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback